Williams Peralta
16/01/2024, 08:55
En este post, vamos a mostrar la configuración de un VLAN con la opción LAN-to-LAN activada, sobre una OLT Huawei. Sin embargo, antes de ello vamos a detallar qué es la opción LAN-to-LAN y en casos nos resultaría útil aplicarla.
Existe un post similar creado para OLT ZTE que pueden consultar aquí. (http://foroisp.com/threads/1960-Configuraci%C3%B3n-de-VLAN-LAN-to-LAN-en-OLT-ZTE-(versi%C3%B3n-1-2-x-y-2-x))
¿Qué significa LAN-to-LAN?
En terminos simples, LAN-to-LAN se trata de comunicar dos redes LAN independientes para que puedan verse entre ellas. Supongamos que tienes dos sucursales a las que necesitas que puedan comunicarse entre ellas, ya sea por temas de infraestructura o por acceso a servidores locales.
Si manejas una red GPON, lo más probable es que a cada sucursal le dejes una Onu, probablemente la autorices en bridge y hayas creado una VLAN para exclusiva para esas dos sucursales. Al estar ambas bajo la misma VLAN y estar en modo bridge, lo ideal sería que puedan comunicarse entre ellas, pero al hacerlo te darás cuenta que ambas no pueden verse entre sí.
¿Cómo funcionada una red LAN-to-LAN en GPON?
En las redes GPON, las OLT manejan todo por VLANs. Como ya mencionamos anteriormente, autorizar las Onu en modo bridge en teoría dejan que la red este transparente ya que puede ver el gateway del Router
2856
El problema se presenta al momento de querer comunicar las dos Onus para que se vean entre sí. Por defecto en el protocolo GPON las Onus no se pueden comunicar entre ellas, de modo que existe un aislamiento entre las Onus.
2857
Por ello, dentro de la OLT existe la opción de implementar una VLAN LAN-to-LAN, esto elimina el aislamiento entre las Onus que esten autorizadas sobre esa VLAN y permite que puedan verse entre sí.
No debe habilitar la opción de LAN-to-LAN en la misma VLAN de servicio que comparten todos los clientes, se recomienda crear una VLAN exclusiva para las Onus que necesitan comunicarse
2854
Recordemos que ahora las sucursales están comunicadas entre ellas, pero siguen en una VLAN aislada del resto de la red. Esto siempre lo debemos manejar así para evitar que nuestras Onus del resto de los clientes puedan comunicarse con las Onus de las sucursales.
2855
Configuración de LAN-to-LAN
Para realizar la configuración debemos generar una VLAN de servicio de forma normal, pero adicionalmente se realizará un perfil especial donde se habilitará la opción de LAN-to-LAN desde la configuración global de la OLT.
1 Creación de la VLAN
El primer punto es crear la nueva VLAN para asignarsela a las Onus de las sucursales.
vlan {id-vlan} smart
vlan desc {id-vlan} description {descripción}
Ejemplo:
vlan 110 smart
vlan desc 110 description "VLAN LAN-to-LAN"
2 Asignar VLAN a puerto Uplink
Siempre que configuremos una nueva VLAN, debe de colocarse sobre el puerto Uplink para que tenga servicio de internet hacia el router.
port vlan {id-vlan} {frame}/{slot} {port}
Ejemplo:
port vlan 110 0/8 0
3 Configuración de perfil de VLAN
Vamos a crear un perfil de VLAN en donde activaremos el reenvío de mac-address y deshabilitaremos las opciones de seguridad que son las que bloquean la comunicación entre usuarios de la VLAN.
vlan service-profile profile-name {nombre del perfil}
forwarding vlan-mac
bpdu tunnel enable
security anti-ipspoofing disable
user-bridging enable
commit
Ejemplo:
vlan service-profile profile-name "L2Lvlan110"
forwarding vlan-mac
bpdu tunnel enable
security anti-ipspoofing disable
user-bridging enable
commit
4 Asignación de Profile a la VLAN
Con el perfil creado debemos asociarlo a la nueva VLAN que configuramos, en este caso se lo asignaremos a la VLAN 110.
vlan bind service-profile {vlan-id} profile-id {id del perfil}
Ejemplo:
vlan bind service-profile 110 profile-id 2
5 Autorizamos las Onus con la VLAN LAN-to-LAN
Las Onus se autorizan de forma normal, en este caso las autorizaremos en modo brige para comunicar ambas sucursales bajo el mismo segmento de red. Más información de como autorizar puede consultar el siguiente manual (http://foroisp.com/threads/1753-Comandos-para-la-autorizaci%C3%B3n-de-onus-en-OLT-Huawei).
interface gpon 0/2
ont add 0 0 sn-auth 485754433B2F7F9D omci ont-lineprofile-id 2 ont-srvprofile-id 3 desc "PRUEBA_LAN-to-LAN 1"
ont port native-vlan 0 0 eth 1 vlan 901 priority 0
ont port native-vlan 0 0 eth 2 vlan 901 priority 0
ont port native-vlan 0 0 eth 3 vlan 901 priority 0
ont port native-vlan 0 0 eth 4 vlan 901 priority 0
ont add 0 1 sn-auth 48575443F0B0749D omci ont-lineprofile-id 2 ont-srvprofile-id 3 desc "PRUEBA_LAN-to-LAN 2"
ont port native-vlan 0 1 eth 1 vlan 901 priority 0
ont port native-vlan 0 1 eth 2 vlan 901 priority 0
ont port native-vlan 0 1 eth 3 vlan 901 priority 0
ont port native-vlan 0 1 eth 4 vlan 901 priority 0
service-port 4 vlan 901 gpon 0/2/0 ont 0 gemport 1 multi-service user-vlan 901 tag-transform translate inbound traffic-table index 66 outbound traffic-table index 25
service-port 5 vlan 901 gpon 0/2/0 ont 1 gemport 1 multi-service user-vlan 901 tag-transform translate inbound traffic-table index 66 outbound traffic-table index 25
De esta manera es como podremos comunicar locaciones distintas bajo un único segmento de red LAN, esto es ideal para trabajos de infraestructura entre edificios corporativos.
¿En donde puede implementar este tipo de configuraciones?
Existen plataformas encargadas de administrar OLTs, las cuales se encargan de implementar ese tipo de funciones desde una interfaz más amigable que sólo haciendolo desde la línea de comandos del OLT.
Una de estas plataformas es AdminOLT, cuya función puede ejecutarse desde el apartado de VLAN, más información pueden consultar este apartado (https://adminolt.com/documentacion/home-1/).
Existe un post similar creado para OLT ZTE que pueden consultar aquí. (http://foroisp.com/threads/1960-Configuraci%C3%B3n-de-VLAN-LAN-to-LAN-en-OLT-ZTE-(versi%C3%B3n-1-2-x-y-2-x))
¿Qué significa LAN-to-LAN?
En terminos simples, LAN-to-LAN se trata de comunicar dos redes LAN independientes para que puedan verse entre ellas. Supongamos que tienes dos sucursales a las que necesitas que puedan comunicarse entre ellas, ya sea por temas de infraestructura o por acceso a servidores locales.
Si manejas una red GPON, lo más probable es que a cada sucursal le dejes una Onu, probablemente la autorices en bridge y hayas creado una VLAN para exclusiva para esas dos sucursales. Al estar ambas bajo la misma VLAN y estar en modo bridge, lo ideal sería que puedan comunicarse entre ellas, pero al hacerlo te darás cuenta que ambas no pueden verse entre sí.
¿Cómo funcionada una red LAN-to-LAN en GPON?
En las redes GPON, las OLT manejan todo por VLANs. Como ya mencionamos anteriormente, autorizar las Onu en modo bridge en teoría dejan que la red este transparente ya que puede ver el gateway del Router
2856
El problema se presenta al momento de querer comunicar las dos Onus para que se vean entre sí. Por defecto en el protocolo GPON las Onus no se pueden comunicar entre ellas, de modo que existe un aislamiento entre las Onus.
2857
Por ello, dentro de la OLT existe la opción de implementar una VLAN LAN-to-LAN, esto elimina el aislamiento entre las Onus que esten autorizadas sobre esa VLAN y permite que puedan verse entre sí.
No debe habilitar la opción de LAN-to-LAN en la misma VLAN de servicio que comparten todos los clientes, se recomienda crear una VLAN exclusiva para las Onus que necesitan comunicarse
2854
Recordemos que ahora las sucursales están comunicadas entre ellas, pero siguen en una VLAN aislada del resto de la red. Esto siempre lo debemos manejar así para evitar que nuestras Onus del resto de los clientes puedan comunicarse con las Onus de las sucursales.
2855
Configuración de LAN-to-LAN
Para realizar la configuración debemos generar una VLAN de servicio de forma normal, pero adicionalmente se realizará un perfil especial donde se habilitará la opción de LAN-to-LAN desde la configuración global de la OLT.
1 Creación de la VLAN
El primer punto es crear la nueva VLAN para asignarsela a las Onus de las sucursales.
vlan {id-vlan} smart
vlan desc {id-vlan} description {descripción}
Ejemplo:
vlan 110 smart
vlan desc 110 description "VLAN LAN-to-LAN"
2 Asignar VLAN a puerto Uplink
Siempre que configuremos una nueva VLAN, debe de colocarse sobre el puerto Uplink para que tenga servicio de internet hacia el router.
port vlan {id-vlan} {frame}/{slot} {port}
Ejemplo:
port vlan 110 0/8 0
3 Configuración de perfil de VLAN
Vamos a crear un perfil de VLAN en donde activaremos el reenvío de mac-address y deshabilitaremos las opciones de seguridad que son las que bloquean la comunicación entre usuarios de la VLAN.
vlan service-profile profile-name {nombre del perfil}
forwarding vlan-mac
bpdu tunnel enable
security anti-ipspoofing disable
user-bridging enable
commit
Ejemplo:
vlan service-profile profile-name "L2Lvlan110"
forwarding vlan-mac
bpdu tunnel enable
security anti-ipspoofing disable
user-bridging enable
commit
4 Asignación de Profile a la VLAN
Con el perfil creado debemos asociarlo a la nueva VLAN que configuramos, en este caso se lo asignaremos a la VLAN 110.
vlan bind service-profile {vlan-id} profile-id {id del perfil}
Ejemplo:
vlan bind service-profile 110 profile-id 2
5 Autorizamos las Onus con la VLAN LAN-to-LAN
Las Onus se autorizan de forma normal, en este caso las autorizaremos en modo brige para comunicar ambas sucursales bajo el mismo segmento de red. Más información de como autorizar puede consultar el siguiente manual (http://foroisp.com/threads/1753-Comandos-para-la-autorizaci%C3%B3n-de-onus-en-OLT-Huawei).
interface gpon 0/2
ont add 0 0 sn-auth 485754433B2F7F9D omci ont-lineprofile-id 2 ont-srvprofile-id 3 desc "PRUEBA_LAN-to-LAN 1"
ont port native-vlan 0 0 eth 1 vlan 901 priority 0
ont port native-vlan 0 0 eth 2 vlan 901 priority 0
ont port native-vlan 0 0 eth 3 vlan 901 priority 0
ont port native-vlan 0 0 eth 4 vlan 901 priority 0
ont add 0 1 sn-auth 48575443F0B0749D omci ont-lineprofile-id 2 ont-srvprofile-id 3 desc "PRUEBA_LAN-to-LAN 2"
ont port native-vlan 0 1 eth 1 vlan 901 priority 0
ont port native-vlan 0 1 eth 2 vlan 901 priority 0
ont port native-vlan 0 1 eth 3 vlan 901 priority 0
ont port native-vlan 0 1 eth 4 vlan 901 priority 0
service-port 4 vlan 901 gpon 0/2/0 ont 0 gemport 1 multi-service user-vlan 901 tag-transform translate inbound traffic-table index 66 outbound traffic-table index 25
service-port 5 vlan 901 gpon 0/2/0 ont 1 gemport 1 multi-service user-vlan 901 tag-transform translate inbound traffic-table index 66 outbound traffic-table index 25
De esta manera es como podremos comunicar locaciones distintas bajo un único segmento de red LAN, esto es ideal para trabajos de infraestructura entre edificios corporativos.
¿En donde puede implementar este tipo de configuraciones?
Existen plataformas encargadas de administrar OLTs, las cuales se encargan de implementar ese tipo de funciones desde una interfaz más amigable que sólo haciendolo desde la línea de comandos del OLT.
Una de estas plataformas es AdminOLT, cuya función puede ejecutarse desde el apartado de VLAN, más información pueden consultar este apartado (https://adminolt.com/documentacion/home-1/).